Worm/Rbot.gen - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Rbot.gen
Entdeckt am:	25/01/2007
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Engine Version:	7.03.00.32

General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke

Ähnliche Erkennung:
   • Worm/Sdbot.gen

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

Spezialerkennung Worm/Rbot.gen

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.

Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

   • 7.04.01.66   ( 29/08/2007 )
   • 7.06.00.27   ( 18/10/2007 )
   • 7.06.00.53   ( 24/01/2008 )
   • 7.06.00.67   ( 14/02/2008 )
   • 7.09.00.70   ( 30/01/2009 )
   • 7.09.00.79   ( 13/02/2009 )
   • 7.09.00.83   ( 17/02/2009 )
   • 7.09.00.138   ( 03/04/2009 )

IRC – Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • DCOM deaktivieren
    • Gesharte Netzlaufwerke deaktivieren
    • vom IRC Server abmelden
    • Datei herunterladen
    • Registry editieren
    • DCOM aktivieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • System neu starten
    • Emails verschicken
    • Starte Tastaturüberwachung
    • Starte Verbreitunsroutine
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen
    • Besuch einer Webseite

Kurzfassung hier.

Beschreibung erstellt von Andrei Ivanes am Thu, 18 Oct 2007 10:25 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Tue, 07 Apr 2009 15:13 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück